PayPal Sistem Açığı Tespiti Yapan Hacker Ödüllendirildi! – PayPal , kullanıcı parolasının hacker’ların tarafından kolaylıkla çözülebileceği bir güvenlik ihlali bildiren Alex Brisan isimli yazılım uzmanına, 15.300 dolarlık ödül verdi. Paypal, araştırmacı Brisan’ın ihlali keşfettiğini ve onlara bildirdiğini açıkça kabul etti.
Beyaz şapkalı bilgisayar korsanı olarak da adlandırılan etik bir bilgisayar korsanı, güvenlik açıklarını bulmak için sistemin sahiplerinin izinleriyle bir bilgisayar sistemine, ağa, uygulamaya veya diğer bilgi işlem kaynaklarına sistematik olarak girmeye çalışan bir bilgi güvenliği uzmanıdır.
Brison açıklamasında, yüksek önemli bug’ı en çok ziyaret edilen sayfalarda bulduğunu söyledi. Paypal’deki ana kimlik doğrulama akışını incelerken ihlali keşfetti.
Paypal Sistem Açığı Ve Tespit Edilme Süreci
Brisan’ın söylediklerine göre dikkatini, bir JavaScript (JS) dosyasının siteler arası istek sahteciliği (CSRF) tokenı ve bir oturum kimliği içermesi çekti. Brisan, geçerli bir javascript dosyası içinde herhangi bir oturum verisi sağlamanın, genellikle saldırganlar tarafından alınmasına izin verdiğini söyledi.
Aynı şekilde PayPal, ReCaptcha uygulaması tarafından kullanılan bir JS dosyasına hassas, benzersiz tokenlerin sızdırıldığını doğruladı. Belirli durumlarda, kullanıcılar kimlik doğrulamasından sonra bir CAPTCHA sorununu çözmek zorunda ve PayPal, söz konusu tokenların CAPTCHA’yı çözmek için POST’ta kullanıldığını belirtti.
PayPal ayrıca, captcha’yı çözdükten sonra kullanıcının başka bir (kötü amaçlı) siteye gitmesi ve PayPal kimlik bilgilerini girmesi gerekeceğini doğruladı. Bu, hackerların güvenlik sorununu tamamlamasını ve daha sonra parolayı göstermek için kimlik doğrulama isteğinin yeniden gönderilmesini sağlar.
PayPal, şifrenin ortaya çıkmasının yalnızca kötü amaçlı bir siteden gelen bir giriş bağlantısının izlenmesi durumunda gerçekleştiğini açıkladı.
Etik Hackerların Bağlantı Platformu
HackerOne adlı bir kuruluş, siber güvenliği teşvik etmek için etik hackerları yazılımlarında, hizmetlerinde veya ürünlerinde bulunan güvenlik açıkları için ödül ödeyen kuruluşlara bağlayan bir platform sağladı.
Bir hacker’ın HackerOne platformunu hacklemeyi başardığı ve kendisine 20.000 dolar ödül verildiği bildirildi.
Bunun dışında, etik hackerların olası güvenlik ihlallerini bulmaya teşvik edildiği hacker yarışmaları var. Bunlardan biri, Tesla Model 3 elektrikli otomobili hackleyebilen herkesin 700.000 dolar ve yeni bir Tesla Modeli alacağı, Mart ayında düzenlenecek bir yarışma.
CoinOtag‘dan Bitcoin haberleri, Coin Haberleri ve Coin Yorumları başlıklarını takip edebilir, ayrıca Instagram ve Twitter’dan da takip edebilirsiniz!
